エクスプロイト&脆弱性
2023年公開された脆弱性のうち、60%をトレンドマイクロが公表:調査機関Omdiaレポート
調査機関Omdiaが発表した最新の「Vulnerability Report(脆弱性レポート)」によると、トレンドマイクロ™のゼロデイ・イニシアチブ™(ZDI)が2023年に公表された脆弱性の60%を占めていたことが分かりました。この結果は、サイバーセキュリティにおける脅威の防止に、ZDIが果たす役割の重要性を際立たせています。
サイバーセキュリティは日々進化する分野です。企業や組織が自らの資産を守るには、絶え間なく脆弱性に目を光らせる必要があります。調査機関Omdiaが最近発表したレポート「Vulnerability Report(脆弱性レポート)」(英語)は、この分野でトレンドマイクロ™のゼロデイ・イニシアチブ™(ZDI)が中心的な役割を果たしていることを明らかにしました。レポートによれば、2023年に公表された脆弱性の実に60%がトレンドマイクロによるものだったのです。
トレンドマイクロは、深刻度が「緊急」である脆弱性の57%を開示しました。
深刻度が「重要」である脆弱性の58%をトレンドマイクロが開示しました。
深刻度が「警告」である脆弱性の68%をトレンドマイクロが開示しました。
これらの顕著な成果は、企業や組織がサイバーセキュリティ対策においてトレンドマイクロとの協力を真剣に考慮すべき強力な根拠となっています。
トレンドマイクロのゼロデイ・イニシアチブとは?
トレンドマイクロのゼロデイ・イニシアチブ(ZDI)は、リサーチャーに報奨金を提供することで、未知の脆弱性(ゼロデイ脆弱性)を影響を受けるソフトウェア開発元に速やかに報告するよう促すために創設されました。当時、情報セキュリティ業界の一部では、脆弱性を見つける人は悪意を持ったハッカーだと考えられていました。今でもそう考える人もいます。しかし、高度なスキルを持つ攻撃者は確かに存在するものの、ソフトウェアの新たな欠陥を発見する人々全体から見れば、ごくわずかです。
個人リサーチャーの世界規模のコミュニティを取り込むことで、トレンドマイクロの研究チームにも新たなゼロデイ研究と攻撃手法の情報をもたらしています。このアプローチは2005年7月25日に立ち上げられたZDIの形成とともに具体化しました。
トレンドマイクロのZDIは、最新のサイバーセキュリティの脆弱性を見つけ出し、対処することに力を注ぐセキュリティリサーチャーや専門家の世界規模のコミュニティとして活動しています。その取り組みはプロアクティブなもので、脆弱性が実際に悪用されるのを待つのではなく、攻撃に利用される前に、これらの問題を発見し、公表し、リスク軽減を支援することに努めています。現在、トレンドマイクロのZDIは世界最大の「特定のベンダーに縛られないバグ報奨金プログラム)となっています。その脆弱性情報の収集方法は他のプログラムとは一線を画しています。ソフトウェア開発元がパッチをリリースするまで、脆弱性の技術的詳細は一切公開されません。開発元が120日以内にパッチを提供しない場合、脆弱性の一部の情報がトレンドマイクロのZDIウェブサイトで公開されます。この公開の仕組みにより、開発元が報告を無視することを防いでいます。
- 深刻度「緊急」の脆弱性(57%):深刻度が「緊急」の脆弱性は、悪用されると深刻な被害をもたらす可能性があり、最も高いリスクとなります。トレンドマイクロがこの分野で多くの開示を行っていることは、最も危険な脅威から組織を守る上で重要な役割を果たしていることを示しています。
- 深刻度が「重要」の脆弱性(58%):重大な脆弱性は最重要ほどではありませんが、それでも大きな被害を引き起こす可能性があります。トレンドマイクロがこれらを見つける専門性を持つことで、企業は素早く効果的に対策を取れます。
- 深刻度が「警告」の脆弱性(68%):中程度の脆弱性も悪用される可能性があります。複数の中程度の脆弱性を組み合わせて攻撃が行われることもよくあります。トレンドマイクロがこれらを積極的に見つけ出すことで、全体的なセキュリティの健全性維持に貢献しています。
3. 先手を打つリスク軽減:脆弱性が悪用される前に公表することで、トレンドマイクロは企業や組織が必要な修正や防御策を講じられるようにしています。この先手を打つやり方により、脆弱性にさらされる時間を短くし、サイバー攻撃の成功確率を下げています。
4. 信頼性の証:トレンドマイクロが多くの脆弱性を開示していることは、その能力への信頼につながります。企業はトレンドマイクロの発見を基に、サイバーセキュリティ戦略を自信を持って決められます。この分野で最も活発で信頼できる取り組みの一つに支えられていると認識できるからです。
IBMによる年次の「Cost of a Data Breach Report(データ侵害コストレポート)」(英語)によると、2023年に未知の脆弱性(ゼロデイ脆弱性)が原因で起きたデータ侵害の平均コストは、過去最高の445万ドルに達しました。この金額は、セキュリティインシデントが企業や組織に与える経済的影響の大きさを如実に示しています。こうしたコストには、問題の発見と対応の拡大、関係者への通知、侵害後の対応、そして失われた事業機会などが含まれます。
トレンドマイクロが脆弱性の公表で重要な役割を担っていることを踏まえると、攻撃を受けやすい部分のリスク管理にトレンドマイクロを活用することは、世界規模で事業を展開する企業や組織にとって自然な選択といえます。これは顧客に大きな価値をもたらします:
- 総合的な防御:トレンドマイクロは、幅広い脅威に対応できる包括的なサイバーセキュリティ基盤を提供しています。これにZDIがもたらす先見的な分析と脅威調査が加わることで、企業や組織の内部で見つかった各脆弱性について、より適切な背景情報を提供できます。
- 革新的な解決策:脅威調査と技術革新に力を入れるトレンドマイクロは、ZDIなどの取り組みを通じて見つかった新たな脅威に先手を打つため、常にサイバーセキュリティ製品の改良を重ねています。
- 世界規模の展開:トレンドマイクロが持つ世界中の個人リサーチャーのネットワークにより、様々な技術や地域にまたがる脆弱性を素早く見つけ出し、対処できます。これにより企業や組織は、拡張性が高く世界中で通用するサイバーセキュリティの対策を手に入れることができます。
結論
Omdiaのレポートは、サイバーセキュリティ分野におけるトレンドマイクロのゼロデイ・イニシアチブの重要性を明確に示しています。トレンドマイクロのZDIプログラムは、この10年間で協調的な脆弱性開示の大部分を担ってきました。この傾向は2024年以降も続くと予想されています。トレンドマイクロの先を見据えた総合的な脆弱性管理の取り組みを活用することで、組織は潜在的な脅威に先手を打ち、新たなサイバーリスクからデジタル資産を確実に守ることができます。
サイバー脅威がますます高度化する今日、トレンドマイクロが提供する専門知識と先制的な対策は、重要な防御層となります。そのため、トレンドマイクロは強固なサイバーセキュリティと効果的なアタックサーフェスのリスク管理を目指すあらゆる企業や組織にとって、欠かせないパートナーとなっています。このプログラムについて詳しくはウェブサイト(英語)をご覧ください。また、最新の攻撃手法やセキュリティパッチに関する情報(英語)は、X (Twitter)、Mastodon、LinkedIn、Instagramをフォローすることで入手できます。
参考記事:
Omdia Report: Trend Disclosed 60% of Vulnerabilities
By: Dustin Childs, Zero Day Initiative
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)